SK텔레콤 유심 해킹 사태로 본 대형 통신사 보안 실태와 대책

SK텔레콤의 유심 정보 해킹 사태는 단순한 개인정보 유출을 넘어 국가 기간통신망의 보안 취약성을 적나라하게 보여준 사건입니다. 대한민국 1위 통신사에서 발생한 이번 사태의 원인과 문제점, 그리고 앞으로 필요한 대책에 대해 알아보겠습니다.

ChatGPT 이미지 과기부 == SKT 대변인

역대급 규모의 SK텔레콤 해킹 사태, 무엇이 문제였나?

최근 SK텔레콤에서 발생한 유심 정보 유출 사태는 유영상 SK텔레콤 대표가 직접 "통신사 역사상 최악의 해킹 사고"라고 인정할 정도로 심각한 사건입니다^12. 전체 교체 대상자는 약 2500만 명에 달할 것으로 예상되며^4, 이는 전국민 절반에 가까운 규모입니다.

해킹 경로와 유출된 정보

이번 해킹은 이반티(Ivanti)라는 업체의 VPN(가상사설망) 장비 취약점을 통해 이루어졌을 가능성이 높습니다^16. 과학기술정보통신부 1차 조사 결과에 따르면 가입자 전화번호, 가입자 식별번호(IMSI) 등 유심 정보가 유출되었지만, '단말기 고유식별번호'(IMEI)는 유출되지 않은 것으로 확인되었습니다^14.

SK텔레콤은 "탈취한 유심정보로 불법 복제 유심을 만들더라도 FDS와 같은 보안 솔루션이 통신망을 보호하고 있어 SK텔레콤 망에 접속할 수 없다"고 주장하고 있습니다^14. 그러나 이러한 주장에도 불구하고 전문가들은 이번 사태의 심각성을 강조하고 있습니다.

대형 통신사 보안 관리의 3가지 치명적 문제점

1. 오픈소스 코드 검증 소홀

많은 기업들이 비용 절감과 개발 효율성을 위해 오픈소스를 활용하고 있습니다. 하지만 제대로 된 검증 없이 오픈소스를 사용하면 심각한 보안 위협이 될 수 있습니다.

대표적인 사례가 2021년 연말 발생한 Log4j 취약점 사태입니다. 자바 기반의 서버와 앱 대부분이 영향을 받았던 이 사건은 오픈소스 취약점이 얼마나 광범위한 피해를 줄 수 있는지 보여주었습니다^10.

또한 2017년 에퀴팩스(Equifax) 데이터 유출 사례에서는 Apache Struts2 웹 애플리케이션 프레임워크의 취약점이 악용되어 약 1억 4,300만 명의 개인 정보가 유출되었습니다^20. 이 취약점에 대한 패치가 이미 배포되었음에도 적시에 적용하지 않아 발생한 사고였습니다.

2. 하드코딩된 중요 정보

프로그램 코드 내부에 패스워드나 암호화 키와 같은 중요 정보를 하드코딩하는 것은 매우 위험한 관행입니다. 코드가 유출될 경우 이러한 중요 정보도 함께 노출되어 해커에게 쉽게 악용될 수 있습니다^2.

#하드코딩된 중요정보(안전X)
def query_execute_bad(query):
dbconn = pymysql.connect(host='127.0.0.1', port='3000', user='root',
passwd='1234', db='mytable', charset='utf8')
c = dbconn.cursor()
c.execute(query)
dbconn.commit()
dbconn.close()

위 코드는 데이터베이스 접속 정보를 코드에 직접 명시한 위험한 예입니다. 이런 방식 대신 안전한 코딩 기법으로는 패스워드를 암호화 후 별도의 파일에 저장하고, 중요 정보 암호화 시 상수가 아닌 암호화 키를 사용해야 합니다^2.

3. 보안 인력의 외주화와 비중 감소

SK텔레콤의 정보보안 전문 인력 비중은 2017~2018년 8.9%를 기록한 뒤 한 해(2019년)를 제외하고 매년 내림세를 보였으며, 2023년 말 기준으로는 7.3%에 불과합니다^9. 더 심각한 문제는 2021년부터 정보보호전담인력의 외주 비중이 81%에 달한다는 점입니다^9.

이는 KT를 비롯한 일부 대기업의 반복되는 보안 관련 사고의 근본 원인이 시스템통합(SI) 사업 전반에 만연한 하도급 구조 때문이라는 지적과도 일맥상통합니다^5. 특히 "KT 본사-SI 계열사-중소업체-인력파견업체" 등 다단계 하도급 구조로 사업이 진행되다 보니 시스템에 어떤 문제가 있는지 제대로 파악하지 못하는 경우가 많습니다^5.

통신사 해킹이 불러올 수 있는 연쇄적 피해

대포폰 위험 증가

유심 정보가 유출되면 불법 유심칩을 만들어 신원을 도용하는 등 악용될 수 있습니다^18. 특히 우려되는 것은 대포폰의 확산입니다. 현재도 다른 사람 명의로 불법 개통한 대포폰 4대 중 3대는 알뜰폰으로 나타나는 등 본인 확인 절차가 취약한 부분이 범죄에 악용되고 있습니다^6.

금융사기와 가상자산 탈취

유심 복제를 통한 '심 스와핑' 공격은 금융 사기로 이어질 수 있는 심각한 위험을 내포하고 있습니다. 비록 SK텔레콤은 "설령 불법 복제 유심으로 심 스와핑에 성공했다고 해도 금융거래에 필요한 개인정보나 비밀번호 등은 없어 추가적인 범죄행위 없이는 금융자산을 탈취할 수 없다"고 주장하지만^14, 해커들은 이미 유출된 정보를 기반으로 추가 공격을 시도할 가능성이 높습니다.

최근 가상자산 해킹 사례가 급증하고 있다는 점도 우려됩니다. 2024년 상반기에 전 세계 암호화폐 해킹 및 익스플로잇 공격으로 도난당한 암호화폐 금액이 2023년 상반기와 비교했을 때 두 배가 더 많은 것으로 나타났습니다^8. 최근 바이비트 해킹 사태에서는 약 2조원 규모의 가상자산이 탈취되기도 했습니다^7.

이제는 달라져야 할 통신사 보안 체계

보안 인력 직접 고용 의무화

SK텔레콤을 포함한 통신 3사는 보안 인력과 기술을 하청업체에 맡기는 관행에서 벗어나 직접 고용을 통해 책임 소재를 명확히 해야 합니다. 하청업체에 책임을 전가하고, 하청업체가 폐업하는 식의 책임 회피가 반복되지 않도록 제도적 장치가 필요합니다.

오픈소스 보안 강화 방안

오픈소스 사용 시 다음과 같은 보안 강화 방안을 반드시 준수해야 합니다:

1. 정기적인 취약점 점검: 사용 중인 오픈소스 라이브러리의 취약점을 정기적으로 점검하고 신속하게 패치를 적용해야 합니다^15.
2. 자동화된 보안 분석 도구 활용: 블랙덕(Black Duck)과 같은 오픈소스 보안 관리 솔루션을 활용하여 취약점을 자동으로 식별하고 분석할 수 있습니다^20.
3. 취약점 대응 프로세스 확립: 취약점 발견 시 즉각적인 대응이 가능하도록 명확한 프로세스를 수립해야 합니다.

개인정보 암호화 기술 도입

개인정보는 반드시 암호화하여 저장해야 하며, 동형암호와 같은 고급 암호화 기술을 적극 도입할 필요가 있습니다. 동형암호는 개인정보를 암호화한 상태로 데이터 분석이 가능하여 개인정보 노출 위험을 최소화할 수 있습니다^3.

국민의 디지털 안전을 위한 제언

이번 SK텔레콤 해킹 사태는 단순한 기업의 보안 실패를 넘어 국가 기간통신망의 안전에 관한 심각한 문제를 제기하고 있습니다. 기간통신망은 전쟁과 같은 극단적 상황에서도 가용성이 보장되어야 하는 국가 핵심 인프라입니다.

따라서 다음과 같은 조치가 시급합니다:

1. 통신사 보안 규제 강화: 정부는 통신사에 대한 보안 규제를 강화하고, 정기적인 보안 감사를 의무화해야 합니다.
2. 보안 전문 인력 확충: 통신사는 보안 전문 인력을 대폭 확충하고, 외주 비중을 줄여 직접적인 보안 관리 체계를 구축해야 합니다.
3. 투명한 사고 보고 체계: 보안 사고 발생 시 투명하게 공개하고, 이용자에게 신속하게 알릴 수 있는 체계가 필요합니다.
4. 이용자 보상 체계 마련: 보안 사고로 인한 피해가 발생할 경우, 이에 대한 명확한 보상 체계를 마련해야 합니다.

결론: 이번 사태가 보안 강화의 전환점이 되어야

SK텔레콤의 유심 해킹 사태는 국내 대형 통신사의 보안 체계에 심각한 결함이 있음을 보여주는 사례입니다. 이번 사태를 계기로 통신사들은 오픈소스 코드 검증, 중요 정보 관리, 보안 인력 운영 등 모든 영역에서 근본적인 변화가 필요합니다.

우리 모두의 디지털 생활이 통신 인프라에 의존하고 있는 현실에서, 통신사의 보안은 단순한 기업의 문제가 아닌 국가 안보와 국민 자산을 보호하는 핵심 요소임을 인식해야 합니다. 이번 사태가 국내 통신 보안 체계를 재정비하는 전환점이 되기를 바랍니다.

#SK텔레콤해킹 #유심정보유출 #통신사보안 #오픈소스취약점 #하드코딩위험 #개인정보보호 #보안인력외주화 #기간통신망 #대포폰위험 #금융사기위험 #가상자산보안 #통신3사 #동형암호 #정보보안 #사이버보안

⁂